jomo.org

Da bei der serverseitigen md5-Codierung das Passwort rein übertragen wird und abgefangen werden kann ist es empfehlenswert, das Passwort bereits clientseitig mit Hilfe von JavaScript zu codieren.

Zusätzlich wird die Sicherheit erhöht, wenn man nicht nur das Passwort codiert, sondern Passwort und Username und in einem versteckten Formularfeld dann die Summe oder das Produkt dieser beiden md5-Codes bildet. Wenn dieser neue md5-Code am Server anstelle des md5-codierten Passwortes gespeichert wird, ist es noch schwerer, an das Passwort heranzukommen.

Die Empfehlung dieser Variante hat folgende Ursache: Zwar kann vom md5-codierten Wert kaum auf das ursprüngliche Passwort zurückgerechnet werden, es gibt aber für Hacker riesige Tabellen mit md5-Codes, die durchsucht werden können. Wenn aber nur mehr das verknüpfte Passwort vorhanden ist, macht man es einem Hacker etwas schwerer. Zusätzlich ist aber auf jeden Fall zu prüfen, ob das Formular auch wirklich vom eigenen Server aufgerufen wurde, sonst ist der Vorteil wieder verspielt:

<?php
if ($_SERVER['HTTP_HOST']=”eigener Server”) {// Code überprüfen und Session setzen …}
?>

Recht gut erklärt wird dieser Sachverhalt auf selfhtml.